使用burp生成CSRF的POC验证CSRF

最新推荐文章于 2024-01-25 18:14:59 发布
最新推荐文章于 2024-01-25 18:14:59 发布
阅读量2.7k 收藏 5
点赞数
分类专栏: CSRF漏洞 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bring_coco/article/details/111182955
版权

实验环境:phpstudy, DVWA,burpsuite
演示过程:
<1>使用burp代理提交内容
(代理推荐使用FoxyProxy小插件)
在这里插入图片描述

在这里插入图片描述

<2>burp中寻找CSRF POC自动化生成选项
在这里插入图片描述

<3>可以看到如下为自动化生成POC
在这里插入图片描述

自动化编写有时候有些是不能用的,最好是自己改一些
<4>将HTML代码复制到新建的csrf.html中
在这里插入图片描述

<5>将其打开
在这里插入图片描述

<6>点击请求
在这里插入图片描述

可以看到成功改变密码。
这种方式虽然成功了,但是必须跟用户产生交互才能执行成功,因此我们需要更改一下代码,使它更难被发现。
<7>增加两行js脚本代码,从而实现自动化虚拟请求
在这里插入图片描述

<8>再次打开网站验证,发现很快跳转从而大大降低被发现率

番茄酱料
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BurpSuite手册-045-Gererate CSRF PoC.pdf
12-28
Burp Suite 常用功能 Burp 包含许多支持测试过程的套件范围的功能。 • Message editor • Inspector • Burp's browser • Sending requests between tools • Search • Learn • Target analyzer • Content discovery • Task scheduler • CSRF PoC generator • Compare site maps • Burp Infiltrator • Burp Clickbandit • Burp Collaborator client • URL matching rules • Response extraction rules • Manual testing simulator • Options
渗透测试工具之:BurpSuite_burpsuite渗透测试
Karka_的博客
11-07 163
Burp Suite 能高效率地与多个工具一起工作,例如:一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。在一个工具处理HTTP 请求和响应时,它可以选择调用其他任意的Burp工具。例如:代理记录的请求可被Intruder 用来构造一个自定义的自动攻击的准则,也可被Repeater 用来手动攻击,也可被Scanner 用来分析漏洞,或者被Spider(网络爬虫)用来自动搜索内容。应用程序可以是“被动地”运行,而不是产生大量的自动请求。
Burpsuite新小功能
Vdieoo的博客
06-15 801
1.1.简要描述 Burpsuite作为web测试中的利器大家都知道,除了其核心的功能外还有部分小功能也是非常的不错,和大家分享一下。(小功能使用错误,敬请指出,不胜感激。)下面以1.7.31的版本开始: 1.2.Infiltrator 这个功能可能大家不怎么使用不熟悉,我在官网中找到了相关的一些介绍。(注意请勿在生产环境中进行测试!) Infiltrator让Burp 能够检测输入到服务器端可能存在问题的api,既last (交互式应用程序安全测试)。 从Burp菜单中选择 Burp Infilt
burp Suite(三)之生成CSRF PoC
crystal_shrimps的博客
08-08 887
CSRF 生成 CSRF PoC 示例 上面改参数,下面regenerate更新,然后test in browser看效果 option可以选择生成poc的表单形式,应对不同应用情况
技术分享 | Json 编写 PoC&EXP 遇到的那些坑
m0_46699477的博客
08-04 665
前言: 这几天师傅们都在提交 Goby 的 EXP,赶鸭子上架,一边研究一边写,也写出来几个,编写过程中遇到了很多问题,都记录了下来。这篇文章主要讲一些遇到过的坑及调试的问题,再通过一个文件上传类 PoC/EXP 来详细讲解。因为我也是刚刚学习编写,如果文章中的说法有什么问题请师傅们及时指出。我使用的版本是 goby-win-x64-1.8.275,PoC 使用 json 编写。 0×01 一些调试遇到的问题 1.1 通过 Burp 代理获取 Goby 流量进行调试 在扫描设置中设置 Burp 的代理。.
Burp验证CSRF
per_se_veran_ce的博客
10-17 1463
1、使用AWVS扫描漏洞,找到可能存在CSRF的页面 2、找到可能存在CSRF的页面,抓包 右击生成CSRF POC 清除refer和cookie的影响 3、修改一些参数 4、点击Test in browser,弹出一个框,下面的just copy 打对勾 复制生成的url,在浏览器中访问 增加了一条新纪录,存在CSRF 信息被修改,或成功新增表单,则说明可以成功伪造...
[工具] BurpSuite--快速生成CSRF POC
weixin_30273501的博客
09-04 1027
我们使用工具分析出存在csrf漏洞时,可以快速生成这个请求的poc,下面我们来看看怎么快速生成 0x00 上图是通过proxy,点击action,选择上图的选项即可生成这个请求的CSRF Poc了 当然不只是proxy有这个选项 target、Repeater等,只要展示请求信息的都有这个选项,下面列些例子 target Repeater BurpSuite很强大...
burpsuite之快速创建测试CSRFPoc页面
moonquake
03-17 1514
注意: 本篇文章使用burpsuite2021专业版,其它版本也基本适用。 一、打开目标表单页面,将代理改为burpsuite,开始抓包。 二、抓取到目标url后,选中url并右击,选择Engagement tools下的Generate CSRF Poc 三、在参数区域修改表单的值,使用自己的payload填写, 修改参数后,不要忘了点击apply(应用修改,使修改生效) 然后点击Regenerate,生成Poc表单 四、获取测试链接 点击Test in browser后,弹出链
burp靶场--CSRF
最新发布
qq_33168924的博客
01-25 1125
应用程序不校验csrf的有效性,只是对比body中与cookie中csrf的值是否相同,相同就接受请求,由于搜索功能没有csrf保护,并且存在cookie注入,所以可以使用搜索中cookie注入修改cookie的csrf与bodycsrf一致造成csrf攻击。步骤1:登陆两个账户,将账户A的csrfkey与csrf值替换给第二个账户B中使用,用来请求修改邮箱地址,修改成功,但是由于cookie被修改会导致账户退出,并且发现搜索功能存在cookie注入【注入的数据可以修改客户端cookie设置】,所以结合。
burpsuite生成POC验证CSRF过程及原理
qq_41123867的博客
02-19 1万+
一.CSRF漏洞成因: 浏览器访问web服务器A,登录状态下,再用同一个浏览器访问了恶意服务器B,服务器B返回给浏览器的页面中含有要求访问服务器A的恶意代码,用户不知情的情况下点击后,导致服务器A接收到来自服务器B的通过浏览器发起的恶意请求 根据上图可知,要验证CSRF,需要在访问网站A后获得cookie后,再访问一个会返回恶意代码的网站B,返回的恶意代码必须能导致访问网站A ,如果能通过返回的...
csrf-poc-creator:用于CSRF概念验证Burp Suite扩展
05-11
csrf-poc创建者用于CSRF概念验证Burp Suite扩展作者:@rammarj 您可以下载所有源代码并自己进行编译,也可以下载jar文件并开始使用burp csrf-poc-creator
burpsuite-copy-as-xmlhttprequest:复制为XMLHttpRequest BurpSuite扩展
03-30
复制为XMLHttpRequest BurpSuite扩展该扩展程序在BurpSuite中添加了一个上下文菜单,该菜单使您可以将多个请求复制为Javascript的XmlHttpRequest,从而简化了在利用XSS时的PoC开发。安装从发行版下载最新的JAR或手动...
BurpSuite手册-039-Inspector.pdf
12-28
CSRF PoC generator • Compare site maps • Burp Infiltrator • Burp Clickbandit • Burp Collaborator client • URL matching rules • Response extraction rules • Manual testing simulator •...
BurpSuite手册-040-Burps browser.pdf
12-28
CSRF PoC generator • Compare site maps • Burp Infiltrator • Burp Clickbandit • Burp Collaborator client • URL matching rules • Response extraction rules • Manual testing simulator •...
Certutil工具(Windows命令行下载常用)
热门推荐
bring_coco的博客
05-28 2万+
Certutil包含一个编码参数(编码)。这有助于在Base64中编码文件的内容。这是在Windows中等效于Linux中的base64命令。不能打开.exe可执行文件时候,可以使用certutil对可执行文件进行编码。然后传输编码后的数据,然后在接收机上对其进行解码。这里创建一个名为test.txt的文本文件,输入一些内容,打开powershell命令:Add-Content test.txt “ni hao”编码(base64)
冰蝎使用
bring_coco的博客
03-03 1万+
一.启动 Windows环境下: 1.配置环境:冰蝎只支持jre6-jre8 可以在电脑上查看java版本 命令:java -version 2.启动 在冰蝎目录下命令行输入 命令:java -jar Behinder_v3.0_Beta6_win.jar(这里文件名可简化) 即可开启 Linux环境下: 注意切换jdk版本6-8,对应javac版本也要和java版本相同,同理打开冰蝎目录输入命令 二.使用(在本机进行实测) 环境:phpStudy+冰蝎 通过启动phpStudy,访问本机地址 成功访
Sqlmap的getshell使用(--os-shell)
bring_coco的博客
03-16 8476
环境:sqli-lab靶场+phpstudy。
FOFA语法
bring_coco的博客
03-07 6399
1.title=”beijing” 从标题中搜索“北京” 2.header=”thinkphp” 从http响应头中搜索“thinkphp” 3.body=”管理后台” 从html正文中搜索“管理后台” 4.domain=”163.com” 从子域名中搜索带有“163.com”的网站 5.icon_hash=”-247388890” 搜索使用此icon的资产 6.host=”.gov.cn”
哥斯拉Webshell
bring_coco的博客
03-03 5355
一.启动 命令:java -jar Godzilla-V2.96.jar 启动时同目录会生成data.db数据库存放数据 启动成功界面如下 二.使用(在本机实测) 这里演示jsp文件进行连接(需要提前配置好jsp环境) 1.点击管理->生成 这里默认密码,密钥(也可以更改,只要跟连接时候保持一致即可) 接下来将生成的文件存放在Tomcat目录下,注意是在Tomcat–>webapps–>ROOT目录下 可以打开指定路径,此时生成的shell.jsp已经生成 接下来点击目标—&
burpsuite CSRF Poc generater
12-26
Burp Suite是一款功能强大的网络安全测试工具,其中包含了许多模块和功能。其中一个模块就是CSRF PoC Generator(跨站请求伪造漏洞利用工具)。CSRF PoC Generator可以帮助安全测试人员生成针对跨站请求伪造漏洞的利用代码。 使用Burp Suite的CSRF PoC Generator模块,您可以按照以下步骤生成CSRF攻击的PoC(Proof of Concept)代码: 1. 打开Burp Suite并导入目标应用程序的配置。 2. 在Burp Suite的左侧导航栏中,选择"Proxy"选项卡,然后选择"Intercept"子选项卡。 3. 在浏览器中访问目标应用程序,并在Burp Suite的Intercept选项卡中捕获请求。 4. 在捕获的请求中,找到您想要生成CSRF PoC的请求。 5. 右键单击该请求,选择"Send to CSRF PoC Generator"。 6. 在CSRF PoC Generator窗口中,您可以选择生成的代码类型(例如HTML、JavaScript等)以及其他参数。 7. 点击"Generate"按钮生成CSRF PoC代码。 8. 将生成的代码复制到您的测试环境中,然后进行进一步的测试和验证。 请注意,CSRF PoC Generator只是Burp Suite的一个模块之一,您还可以使用其他模块和功能来进行更全面的安全测试和漏洞利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值